Spring naar content

In oktober 2019 is de CNIL een onderzoek gestart naar de verwerkingen van klant- en prospectgegevens door AG2R. Hieruit kwam naar voren dat er wel bewaartermijnen waren gesteld in het privacybeleid, maar dat deze niet waren geïmplementeerd in de bedrijfssystemen. De Franse verzekeringsgroep erkende dit probleem en vertelde dat er een implementatieplan stond gepland voor begin 2020. Het in juli gepubliceerde boetebesluit is gebaseerd op twee groepen persoonsgegevens: ca. 2000 prospects en ruim 2 miljoen klanten met een verzekering.

Verschillende soorten gegevens

Voor de prospectgegevens was in het privacybeleid een termijn van drie jaar na registratie óf het laatste contact op initiatief van de prospect opgenomen. In werkelijkheid bleek dat de gegevens langer dan drie jaar werden bewaard en voor bijna driekwart van de prospects zelfs langer dan vijf jaar.

Voor de ruim 2 miljoen klantgegevens gelden andere, wettelijk bepaalde termijnen. Maar ook daar ging het volgens de CNIL niet goed. Zo werden gegevens van enkele duizenden klanten met een schadeverzekering langer dan tien jaar bewaard (in sommige gevallen zelfs meer dan dertig jaar), terwijl de bewaartermijn tussen de twee en tien jaar ligt. Ook werden gegevens van de ruim 2 miljoen klanten met een gezondheidsverzekering langer bewaard dan de wettelijk bepaalde termijn van vijf jaar. Van 1,3 miljoen klanten waren de gegevens zelfs ouder dan tien jaar en van enkele duizenden zelfs langer dan dertig jaar.

De Franse toezichthouder vindt daarbij dat AG2R niet heeft kunnen aantonen dat er een noodzaak bestaat om de gegevens langer dan de gestelde termijnen te bewaren. AG2R heeft sinds het onderzoek stappen genomen om de bewaartermijnen te hanteren en het bestand op te schonen, maar er wordt nog steeds gedeeltelijk inbreuk gemaakt. Wél hebben deze stappen en het feit dat er een plan wordt uitgevoerd er aan bijgedragen dat de boete lager is uitgevallen.

Informatieplicht

Naast het schenden van de bewaartermijnen voldeed AG2R ook niet aan de verplichting om betrokkenen voldoende duidelijk te informeren. Ten eerste ging het om persoonsgegevens die waren opgehaald bij een derde partij. De betrokkene moet hierover binnen maximaal een maand worden geïnformeerd over de verwerking van zijn gegevens, maar dit gebeurde niet. Ten tweede werd tijdens een audit op telemarketinggesprekken (uitgevoerd door facilitaire callcenters in opdracht van AG2R) geconstateerd dat niet werd geïnformeerd dat het gesprek werd opgenomen óf dat zij gebruik konden maken van hun recht van bezwaar. Vrijwel direct na de genoemde audit heeft AG2R haar telemarketingbeleid aangepast én ervoor gezorgd dat gesproken personen achteraf alsnog geïnformeerd werden. Hierdoor is volgens de CNIL deze overtreding gerechtvaardigd en is hier rekening mee gehouden bij de hoogte van de boete.

Ben je lid van DDMA en heb je een juridische vraag? Stuur een mailtje naar legal@ddma.nl.

Romar van der Leij

Voormalig Legal counsel | DDMA

Ook interessant

Lees meer
Telemarketing |

DDMA Telemarketing Benchmark 2024: Telemarketing blijft onverminderd effectief, consumenten beter geïnformeerd

Telemarketing blijft een even effectief marketingkanaal als voorgaande jaren. De DDMA Telemarketing Benchmark 2024 laat voor het derde jaar op rij zien dat 1 op de 2 consumenten (49%) bereikt…
Lees meer
Legal |

Zo creëer jij écht relevante, datagedreven telemarketingcampagnes

Telemarketing staat al jaren onder druk, met strengere regels in de Telecommunicatiewet en de Code Telemarketing tot gevolg. Door al die veranderingen wordt er van adverteerders en contactcenters veel gevraagd.…
Lees meer
DDMA |

Vacature: Commissielid DDMA Telemarketing – Goed doel (op vrijwilligersbasis)

Ben jij werkzaam bij een goed doel en verantwoordelijk voor Telemarketing? Heb jij interesse om een belangrijke rol te spelen in het vormgeven en verder professionaliseren van het vakgebied in…